Bu Windows zararlı yazılımı şimdi Linux sistemlerini hedef alacak şekilde gelişiyor

24 Eylül 2024 23:08

ferit cem yilmaz

Uzmanlar, bilgisayar korsanlarının meşhur Mallox fidye yazılımını Linux sistemlerini de hedef alacak şekilde değiştirdiğini iddia etti.

Yeni versiyon Mallox Linux 1.0 olarak adlandırılıyor ve Mallox operatörlerinin yanlışlıkla araçlarını sızdırmasının ardından siber güvenlik araştırmacıları SentinelLabs tarafından kısa süre önce keşfedildi.

Aracın analizi, araştırmacıların Mallox Linux 1.0’ın aslında Kryptina şifreleyicisinin yeniden markalaşması olduğu sonucuna varmalarına yol açtı. Kryptina geçen yıl “Corlys” takma adlı bir tehdit aktörü tarafından oluşturulmuş ve aracı yaklaşık 800 $ karşılığında kiralamaya çalışmıştı. Ancak, siber suçlu topluluğu araca fazla ilgi göstermediğinden, Corlys birilerinin onu alabileceği umuduyla ücretsiz olarak paylaştı.

Hedef Şirket

Yeni varyant Kryptina’nın kaynak kodunu, aynı şifreleme mekanizmasını (AES-256-CBC) ve aynı şifre çözme rutinlerini kullandığından Mallox’un bunu yaptığı anlaşılıyor. Dahası, aynı komut satırı oluşturucusunu ve yapılandırma parametrelerini de kullanıyor. Bu nedenle, Mallox geliştiricileri yalnızca şifreleyicinin adını ve görünümünü değiştirdi ve belgelerden Kryptina’dan herhangi bir sözü kaldırdı. Diğer her şey değişmeden bırakılmıştır.

Şimdilik potansiyel kurbanlar hakkında bir bilgi yok, ancak Kaspersky’den araştırmacılar analizlerinde Mallox iştiraklerinin “faaliyetlerini belirli bir ülkeyle sınırlamadığını” söyledi. Bunun yerine, savunmasız şirketlere nerede olurlarsa olsunlar saldırıyorlar. Bununla birlikte, Mallox’un bir varyantı tarafından vurulan firmaların çoğu Brezilya, Vietnam veya Çin’de bulunuyor.

Fidye yazılımı Fargo ya da TargetCompany olarak da biliniyor ve Haziran 2021’den bu yana şu ya da bu şekilde aktif. Sekoia, ilk başta çoğunlukla güvenli olmayan MS-SQL sunucularını hedef aldığını tespit etti. Mallox’un bir diğer özelliği de özellikle Avrupa Birliği’ndeki kurbanları olası GDPR ihlalleri konusunda tehdit etmek.

Ekim 2022 ve Mart 2023 arasında, bağlı kuruluşları en az 20 kuruluştan veri çaldı.